Informe técnico empresarial Identifique y evite las amenazas a la seguridad Cómo pueden los proveedores de servicios abordar la principal preocupación de sus clientes: la seguridad Informe técnico empresarial Índice 4 Las cuatro preocupaciones principales de los directores de TI 5 Reconocer las capacidades del ciberdelincuente de hoy 5 Descompensación fundamental entre los hackers y el sector 6 En busca de una solución milagrosa 6 Aprender la lección de los adversarios 7 Perturbar, gestionar y ampliar 7 Proteja a sus clientes desde todos los ángulos Informe técnico empresarial Página 3 La seguridad es la principal preocupación entre los directores de TI actuales, acuciada por los retos asociados al tamaño de la empresa y al personal de seguridad interno, requisitos crecientes en materia de presentación de informes de conformidad, la expansión de los puntos de conexión a Internet, servicios de acceso remoto y mucho más. Conocen la deficiencia de las respuestas tradicionales de bloqueo total para evitar la entrada del mundo exterior. Sus cortafuegos, motores antivirus y otras soluciones puntuales han demostrado ser insuficientes frente a un paisaje de seguridad en constante cambio. Mientras que las organizaciones buscan aprovechar las ventajas de la movilidad y la nube, los límites del perímetro se han vuelto indefendibles: en efecto, la seguridad de la red interna se ha desintegrado. Y, con el tiempo, la seguridad no se va a simplificar, puesto que la tendencia creciente es que los datos de la empresa se gestionen de manera externa. De forma paralela a la tormenta de productos de malware que asola Internet, también se ha producido un acusado incremento en los ciberataques con finalidades y objetivos específicos. Tal y como era de esperar, las empresas invierten grandes cantidades de dinero en intentar prevenir la ciberdelincuencia: aproximadamente 46.000 millones de dólares estadounidenses solo el pasado año (ABI Research, 2013). Al mismo tiempo, el crecimiento de las amenazas a la seguridad resulta perturbador: En 2013, se produjo un 20 % más de ataques que en 2012 y el coste medio de cada ataque a una organización se incrementó en un 30 % en un solo año (Ponemon Institute, 2013). ¿Por qué están ganando los adversarios? Por desgracia, las empresas no disponen de suficiente personal de seguridad. No es que el personal contratado no sea válido... es que hay sillas vacías. Se prevé que aproximadamente un 40 % de los cargos de seguridad queden vacantes en 2014 (Ponemon Institute, 2014) y esto representa una debilidad sistémica para el sector. Como proveedor de servicios, ocupa una posición privilegiada para resolver el dilema de la seguridad relacionada con los delitos informáticos, porque puede ofrecer al cliente el personal, la tecnología y las soluciones para abordar el ataque a la seguridad antes de que el cliente llegue a verlo. Informe técnico empresarial Página 4 Las cuatro preocupaciones principales de los directores de TI Los directores de TI desean una infraestructura segura, transparencia en los movimientos de datos, auditorías de seguridad simplificadas y una visibilidad global homogénea para poder anticiparse a los problemas de seguridad. Básicamente, son cuatro las preocupaciones que les quitan el sueño: 1. Su infraestructura. La información del director de TI está tan segura como el centro de datos, tanto el de la organización como los centros de datos de sus proveedores de servicios. ¿Sus proveedores poseen una seguridad de red adecuada y cortafuegos de nueva generación? ¿Pueden supervisar para detectar amenazas desconocidas? ¿Cuál es el tiempo medio de respuesta a un incidente? ¿Existe una visibilidad adecuada y en tiempo real de la seguridad operativa del entorno? ¿Qué va a pasar cuando las aplicaciones empresariales de los clientes se lancen en un entorno de nube del proveedor de servicios? Eso constituyó una auténtica pesadilla para los pioneros en la adopción de los servicios en la nube. Cuando sus aplicaciones residían en el seno de la organización, era posible poner en marcha controles dirigidos a mitigar las debilidades de la seguridad, como la codificación defectuosa. Sin embargo, en el momento en que estas aplicaciones se trasladaron a ubicaciones externas, se perdió un elemento de control y dichas debilidades inherentes quedaron expuestas. Este fallo de seguridad no es un defecto de la nube, sino una debilidad de las propias aplicaciones. Y las cosas no han mejorado; un estudio reciente de las aplicaciones empresariales actualmente en uso estableció, con gran sorpresa, que 9 de cada 10 presentaba vulnerabilidades (HPE Research, 2013). 2.El software de sus proveedores. ¿Sus socios están desarrollando y manejando sistemas de software seguros? Si la organización utiliza plataformas de sus socios, ¿cada socio está gestionando el riesgo a un nivel que el director de TI considera aceptable? Un análisis de inventario no parece resultar demasiado útil en este caso. Aunque las respuestas de un proveedor de servicios a las preguntas sobre seguridad de las infraestructuras pueden ofrecer confianza, sus respuestas respecto a la seguridad del software pueden resultar más complejas y menos tranquilizadoras. Los directores de TI desean una descripción del proceso de construcción del software: a poder ser un ciclo de vida de desarrollo seguro, valoraciones de las vulnerabilidades de terceros y otras evidencias de que el proveedor de servicios se toma en serio la seguridad y realiza las inversiones pertinentes. Resulta esencial ganarse la confianza de sus clientes antes de que le entreguen sus datos. 3.El software de la organización. Si el departamento de TI está desarrollando un software personalizado destinado a alojarse en un proveedor de servicios, el director de TI debe asegurarse de que este software está alineado e interacciona correctamente con los servicios que utiliza del proveedor. ¿Cuál es el nivel de acceso que tienen los desarrolladores de la organización al entorno del proveedor de servicios? ¿Existe documentación suficiente? ¿El departamento de TI puede construir un software realmente seguro? Si los desarrolladores están construyendo software compuesto, ¿el proveedor permite un acceso y una visibilidad suficientes de esta solución combinada para tener la certeza de que es segura? 4.Su conformidad normativa. Las empresas están sujetas a multitud de normativas transnacionales, como PCI, SOX y BASEL II, además de otras muchas normativas privadas locales y nacionales. ¿Cómo se mantiene al día con las normativas de cumplimiento y del sector? Son complicadas y cambian y, además, son diferentes en función del país. ¿Cómo alinea el presupuesto destinado a seguridad y riesgos con los procesos empresariales más esenciales? ¿Cómo puede distinguir cuáles son y garantizar la visibilidad de los factores de riesgo? ¿Cuál es su planificación y cómo integra las diferentes funciones (como TI, legal, conformidad y abastecimiento) en un único plan? Informe técnico empresarial Página 5 Reconocer las capacidades del ciberdelincuente de hoy Con todas estas inquietudes, la siguiente pregunta obvia es "¿por qué?" Los adversarios saben que las organizaciones están intentando defenderse y proteger sus datos y el sector lleva años hablando de lo que les motiva. Pero no importa realmente si los ciberdelincuentes son hacktivistas, actúan impulsados por fines socio-políticos, o buscan ganancias económicas. Lo que realmente importa son sus capacidades. En la actualidad, los ciberdelincuentes se organizan en torno a un mercado que les permite colaborar de formas inéditas. Por supuesto, este es un efecto típico de cualquier mercado organizado en cualquier sector: a medida que el mercado madura, se puede observar colaboración, especialización y mayor monetización. Los ciberdelincuentes ya no trabajan solos; colaboran a gran escala. Hablan abiertamente en varios foros; compran y venden entre ellos secretos empresariales, herramientas e información. Los diferentes actores y grupos se están especializando en áreas de seguridad diferentes o en diferentes estilos de ataque, lo que les permite cobrar un extra por dichos servicios. Tomemos como ejemplo un grupo de ciberdelincuentes con capacidades específicas para acceder a equipos supuestamente inaccesibles. Una vez dentro, no roban ni destruyen datos; simplemente venden ese punto de entrada. O quizá solo perpetraron un ataque a ese equipo en particular en respuesta a la solicitud de un foro: "¿quién tiene acceso al equipo X?". En realidad, estaban trabajando para cumplir el requerimiento de un cliente. Y los adversarios no carecen de sentido del humor. Hacer caer sistemas que habían sido galardonados con algún tipo de reconocimiento por su nivel de seguridad simplemente porque podían hacerlo se convirtió en una prueba de valor o en una distinción. Descompensación fundamental entre los hackers y el sector Los bandos en esta batalla no dejan lugar a dudas: son los hackers y otros ciberdelincuentes frente al sector. Y aunque los proveedores de servicios pueden pensar que unos adversarios cooperantes deben caer derrotados finalmente por las grandes empresas, existe una descompensación estructural entre ellos que evita que esto ocurra. Para definir el éxito, cada proveedor de servicios necesita acertar siempre; se considera que han perdido cuando tan solo un sistema o elemento de datos se ha visto comprometido. No obstante, el hacker puede atacar miles de veces y solo necesita acertar una vez. Salvo que cambiemos la naturaleza fundamental de este conflicto, el sector seguirá perdiendo. Informe técnico empresarial Página 6 En busca de una solución milagrosa El lugar obvio para buscar una solución es la tecnología. Sin embargo, Hewlett Packard Enterprise reconoce que, aunque la tecnología es una parte clave de la solución, las empresas invierten excesivamente en tecnología y productos de seguridad: ahora hay tantas soluciones milagrosas que es casi imposible gestionarlas todas. Además, las empresas dedican actualmente cantidades desproporcionadas a intentar detener la infiltración: un impresionante 86 % del gasto en seguridad se justifica de este modo, según algunos cálculos, pero existen otros aspectos que bien merecen el gasto en seguridad. Un estudio demuestra que las empresas reciben un motivador 21 % del rendimiento de la inversión si gastan en sistemas de inteligencia de seguridad, en otras palabras, una inversión combinada en productos, personal y procesos (Ponemon Institute, 2013). El mensaje claro es que los proveedores de servicios deben utilizar la combinación adecuada de productos y procesos de seguridad para proteger a sus clientes de manera eficaz. Aprender la lección de los adversarios En sus tácticas de combate, las organizaciones deben aprender una lección de los ciberdelincuentes. Las empresas deben empezar a colaborar de maneras que todavía no son evidentes, ni siquiera dentro de ejes y segmentos del mismo sector. HPE está liderando esta iniciativa para construir y compartir inteligencia de amenazas útil y reconoce la importancia de la recopilación de datos sistematizada y en tiempo real y el compromiso con unos estándares abiertos. Además de impulsar esta iniciativa en el sector de la alta tecnología, HPE va a lanzar una plataforma que permite que las organizaciones compartan la inteligencia de seguridad, las amenazas y su análisis y aporten soluciones con ayuda de comunidades y organizaciones de confianza. La visión es elevar el nivel de defensa común en todo el sector. Los adversarios utilizan las mismas técnicas una y otra vez; por eso, el sector debe compartir información y resolver estos ataques. Esta colaboración puede ayudar a objetivos futuros a adelantarse a los atacantes o, como mínimo, a implementar unas defensas sólidas. HPE cree que el desarrollo de unas comunidades de confianza volverá a equilibrar la balanza, poniendo fin a la desventaja estructural actual. Informe técnico empresarial Página 7 Perturbar, gestionar y ampliar Para ayudar a los proveedores de servicios a proteger mejor a los clientes y sus datos, HPE aboga por un enfoque integral de la seguridad. Esto parte de una visión completa y única de los riesgos en toda la organización, impulsada por las metas y las prioridades de la empresa. HPE Security se centra en tres principios: perturbar, gestionar, ampliar. El mundo confía en HPE para acceder a un enfoque más inteligente de la seguridad: • Nº 1 en identificar amenazas y vulnerabilidades de seguridad2 • Más de 10.000 clientes en todo el mundo, incluyendo 9 de los 10 bancos más grandes con más de 9 billones de dólares en transacciones al día • 8 centros de operaciones de seguridad con más de 5.000 profesionales de seguridad acreditados en todo el mundo Además de mantenerlos fuera, los proveedores de servicios deben perturbar a sus adversarios a través de una mayor inversión en prevención y detección. Con las capacidades en materia de datos no estructurados de las soluciones HPE Information Analytics, los proveedores de servicios pueden literalmente captar el “chateo de los ciberdelincuentes", facilitando así ataques preventivos. En respuesta a la acuciante escasez de personal de seguridad, HPE ocupa una posición única para gestionar los riesgos para la seguridad, ofreciendo a los proveedores de servicios acceso a 5.000 especialistas en el sector de la seguridad, a servicios de respuesta a incidencias de seguridad y a servicios forenses, de litigación y recuperación de datos, apoyados en los productos de HPE Enterprise Security. Y todas estas soluciones amplían sus capacidades. Podrá adoptar un enfoque integral mediante unas prácticas de seguridad que incluyan conformidad y auditoría, políticas, riesgos y amenazas, formación y concienciación y una arquitectura técnica que garantice que tenga la visibilidad adecuada de las amenazas, tanto desde el exterior como desde el interior. Proteja a sus clientes desde todos los ángulos Cuando las empresas hacen uso de soluciones de TI externas de proveedores de servicios, sus preocupaciones acerca de la seguridad se ven incrementadas debido a una falta de control percibido. ¿Cómo puede un proveedor de servicio garantizar que están abordando estas preocupaciones para proteger a sus clientes? Como líder en el mercado de la seguridad, HPE realiza estudios de investigación innovadores dirigidos a desarrollar productos y servicios de seguridad. HPE ocupa la posición de líder en tres de los Cuadrantes mágicos de Gartner (Magic Quadrants) en sus categorías respectivas por sus productos de seguridad: HPE ArcSight, HPE Fortify y HPE TippingPoint.1 Como proveedor de servicios que comprende las principales preocupaciones de sus clientes, al trabajar con HPE, podrá ofrecer la confianza necesaria para abordar sus requisitos de seguridad. El panorama de la seguridad sigue cambiando a cada segundo, pero los buenos de la película se están poniendo las pilas. Dependen menos de la tecnología y más de una combinación de productos, personal y procesos y, lo que es más importante, de la colaboración. Evalúe las medidas de seguridad que utiliza para prestar servicios a sus clientes. Para más información, eche un vistazo a las soluciones de seguridad para proteger las cosas importantes e implique a HPE para que le ayude a llevar su seguridad hasta el siguiente nivel. Obtenga más información en hpe.com/info/security 1 artner, Inc., Cuadrante mágico para Información de G seguridad y gestión de eventos, Kelly M. Kavanagh, Mark Nicolett, Oliver Rochford, 25 de junio de 2014; Cuadrante mágico para Prueba de seguridad de las aplicaciones, Joseph Feiman, Neil MacDonald, 1 de julio de 2014; Cuadrante mágico para sistemas de prevención de intrusiones, Adam Hils, Greg Young, Jeremy D’Hoinne, 16 de diciembre de 2013. Gartner no avala a ningún proveedor, producto o servicio mencionado en sus publicaciones de investigación, ni recomienda a los usuarios de tecnología que seleccionen solo los proveedores con las clasificaciones más altas u otras atribuciones. Las publicaciones de investigación de Gartner contienen las opiniones de la organización de investigación de Gartner y no se deben tomar como declaraciones de hechos. Gartner declina todas las garantías, expresas o implícitas, en lo que respecta a esta investigación, incluida cualquier garantía de comerciabilidad o idoneidad para un fin determinado. 2 legida la mejor organización de E investigación de vulnerabilidades a la seguridad por Frost & Sullivan, 2012. Informe técnico empresarial Regístrese y reciba las actualizaciones © Copyright 2014–2015 Hewlett Packard Enterprise Development LP. La información incluida en este documento se podrá modificar sin previo aviso. Las únicas garantías de los productos y servicios de HPE figuran en las declaraciones expresas de garantía que se incluyen con ellos. Nada de lo que aquí se indica debe interpretarse como una garantía adicional. HPE no se responsabilizará de los errores u omisiones técnicos o editoriales que pudiera contener el presente documento. 4AA5-6234ESE, noviembre de 2015, Rev. 1